image

'Adobe Reader sandbox schrikt hackers af'

donderdag 20 september 2012, 16:46 door Redactie, 1 reacties

De sandbox in Adobe Reader X is de reden dat het aantal beveiligingslekken in de PDF-lezer de eerste helft van dit jaar sterk is afgenomen. Dat beweert IBM in het X-Force 2012 Trend en Risk rapport. "We zijn er zeker van dat er een sterke relatie is tussen de afname van gerapporteerde PDF-lekken en de Adobe Acrobat Reader X sandbox." Door de sandbox is het een stuk lastiger geworden om een betrouwbare exploit te ontwikkelen.

Vanwege de toegenomen complexiteit is het zoeken naar PDF-lekken niet meer zo interessant voor aanvallers. "Sandboxes kunnen dit soort voordelen aan het security ecosysteem bieden, omdat ze ontworpen zijn om de rechten te verminderen die aanvallers en onderzoekers op getroffen systemen kunnen krijgen."

Sandbox
Naast het aantal PDF-lekken nam ook het aantal kwetsbaarheden in Office-documenten sterk af. Zowel via PDF- als Office-bestanden vinden regelmatig gerichte aanvallen plaats, waarbij aanvallers het slachtoffer een geprepareerd bestand e-mailen en zo proberen om op ongepatchte systemen in te breken. .

IBM stelt in het rapport dat bedrijven zich via sandboxes kunnen beschermen, omdat het een extra beveiligingslaag vormt. Doordat steeds meer leveranciers een sandbox integreren, wordt het steeds kostbaarder voor aanvallers om een aanval te ontwikkelen.

Het betekent echter ook dat aanvallen die uit de sandbox weten te breken waardevoller worden. "Aanvallers zullen zich dan ook aanpassen door meer te investeren in het vinden of kopen van sandbox-lekken."

Reacties (1)
21-09-2012, 16:52 door Didier Stevens
Aanvallers zullen zich dan ook aanpassen door meer te investeren in het vinden of kopen van sandbox-lekken.

Dat zal pas gebeuren als Adobe Reader X het grootste marktaandeel heeft.

En vergeet niet dat er nog andere manieren zijn voor aanvallers om hun doel te verwezenlijken dan sandbox-lekken.
2 voorbeelden:
1) de Adobe Reader sandbox beperkt het schrijven naar het bestandsysteem, niet het lezen ervan. Dus informatie stelen is perfect mogelijk.
2) Een privilege escalation die de aanvallers toegang tot de kernel geven, zoals er al geweest zijn met TrueType fonts, omzeilt ook de sandbox.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.